高校应用防护实例容易

美版预定2012年06月19日发售 高考越来越近，各大高校站也在为考生的信息安全操心。某大学是教育部直属、教育部与上海市共建的全国重点大学，是国家 七五重点建设、全国首批7所211工程和首批9所985工程建设的高校之一，是国家111计划和珠峰计划重点建设的名牌大学，是中国大学常青藤联盟成员。

该大学站众多，黑客针对Web应用的攻击手段和技术日趋高明、隐蔽，致使大多Web应用处在高风险环境下开展。利用站的安全漏洞，尤其是Web应用程序漏洞：如SQL 注入等，黑客能够得到Web 服务器的控制权限，随意篡改页内容或窃取重要内部数据，更为严重的则是在页中植入恶意代码，通过页挂马感染更多的客户端用户。

做Web应用防护前，首先了解了该高校站的部署环境。该校公出口流量10Gbps，学校Web的外HTTP流量在1Gbps以下，站Web数量在500以上。然后做了如下实施策略，将核心交换机配置为策略路由，将所有站80端口的HTTP流量，发送到Web应用防护系统进行过滤清洗，过滤完Web攻击流量后送回核心交换机。

通过策略路由方式部署，主干非HTTP流量不经过Web应用防护系统，可以将Web应用防护系统的处理能力完全用于处理HTTP流量。全校的站较为分散，仅使用一台设备即可对外到全校的流量进行防护，从而对各大接入部门的站安全提供了有力的保护。